<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<!--
Generated from $Fink: sec-policy.zh.xml,v 1.6 2005/04/09 16:12:59 babayoshihiko Exp $
-->
<title>Fink Documentation - Fink 软件包的通用安全政策</title></head><body>
<table width="100%" cellspacing="0">
<tr valign="bottom">
<td align="center">
Available Languages:  | 
<a href="sec-policy.en.html">English</a> | 
<a href="sec-policy.fr.html">Fran&ccedil;ais</a> | 
<a href="sec-policy.ja.html">&#26085;&#26412;&#35486; (Nihongo)</a> | 
<a href="sec-policy.pt.html">Portugu&ecirc;s</a> | 
&#20013;&#25991; (&#31616;) (Simplified Chinese) | 
</td>
</tr>
</table>
<h1 style="text-align: center;">Fink 软件包的通用安全政策</h1>
        <p>本文档解释对已被 Fink 接纳的软件包的安全性意外的处理规则。虽然对于每个被接纳的软件包的主要责任仍然在于它们相应的维护者，但是 Fink 项目组仍然人为有必要提供统一的规则以应对可能发生的安全性意外事件。每个 Fink 软件包的维护者都应该遵循这个规则。</p>
    <h2>Contents</h2><ul><li><a href="#respo"><b>1 责任</b></a><ul><li><a href="#respo.who">1.1 由谁负责？</a></li><li><a href="#respo.contact">1.2 我应该联系谁？</a></li><li><a href="#respo.prenotifications">1.3 预通知</a></li><li><a href="#respo.response">1.4 回应</a></li></ul></li><li><a href="#severity"><b>2 响应时间和立即行动。</b></a><ul><li><a href="#severity.resptimes">2.1 响应时间</a></li><li><a href="#severity.forced">2.2 强制更新</a></li></ul></li><li><a href="#sources"><b>3 安全漏洞信息来源</b></a><ul><li><a href="#sources.sources">3.1 可接受的漏洞信息来源</a></li></ul></li><li><a href="#updating"><b>4 安全性更新流程</b></a><ul><li><a href="#updating.procedure">4.1 添加安全性有关更新。</a></li><li><a href="#updating.moving">4.2 Unstable 到 stable 的迁移。</a></li></ul></li><li><a href="#notification"><b>5 发送通知</b></a><ul><li><a href="#notification.who">5.1 谁应该发送它们？</a></li><li><a href="#notification.how">5.2 如何提交</a></li></ul></li></ul><h2><a name="respo">1 责任</a></h2>
        
        
        <h3><a name="respo.who">1.1 由谁负责？</a></h3>
            
            <p>每个 Fink 软件包都有一个维护人。可以在命令行输入 <tt style="white-space: nowrap;">fink info packagename</tt> 命令来查询到这个维护人。这会返回一系列信息，其中一段类似：
				Maintainer: Fink
                    Core Group
                &lt;fink-core@lists.sourceforge.net&gt;。维护者对他/她的软件包负有全部责任。</p>
        
        <h3><a name="respo.contact">1.2 我应该联系谁？</a></h3>
            
            <p>如果你发现某个软件包存在安全性问题，你应该通知该软件包的维护者以及 <b>Fink 核心团队</b>。维护者的电子又见可以在软件包信息里面找到，而 <b>Fink 核心团队</b> 的是 fink-core@lists.sourceforge.net </p>
        
        <h3><a name="respo.prenotifications">1.3 预通知</a></h3>
            
            <p>我们要求你对于 Fink 的严重安全性问题需要预先通知软件包的维护者。由于不一定能在固定的事件内联系到维护者，预通知同时也应该提交到 <b>Fink 安全团队</b>。该团队的每个成员的电子邮件地址会在本文档的稍后地方列出。请注意 fink-core@lists.sourceforge.net 是一个公开的邮件列表，内部性的预通知<b>绝对不能</b>发送到这个列表中。</p>
        
        <h3><a name="respo.response">1.4 回应</a></h3>
            
            <p>关于安全性问题所提交的报告会由 <b>Fink 核心团队</b>进行回应。每个维护者都被要求自行回复处理被报告的问题。在不太常见的情况下，如果找不到维护者或维护者不能在 24 小时之内回复，应该向 <b>Fink 核心团队</b> 发送信息通知他们维护者似乎没有回应。</p>
            <p>如果你尝试通知维护者但是却被邮件系统退信，你应该立即通知 <b>Fink 核心团队</b>联系不到维护者这样软件包可以不经过维护者而得到更新。</p>
        
    <h2><a name="severity">2 响应时间和立即行动。</a></h2>
        
        
        
            <p>响应时间和才于的行动主要取决于由于 Fink 中包含的这个软件包安全性漏洞可能导致的损失的严重程度。在任何情况下，如果 <b>Fink 核心团队</b>必须立刻保护 Fink 用户社区，它将会采取立即的行动。</p>
        
        <h3><a name="severity.resptimes">2.1 响应时间</a></h3>
            
            <p>每个软件包都应该争取达到下面的响应时间。
                对一些脆弱性的问题 <b>Fink 核心团队</b>可能会采取立即的行动。在这种情况下，一个核心团队的成员会通知可能存在问题的软件包的维护者。另外，请注意虽然我们努力达到这个响应时间标准，但 Fink 是一个志愿者活动，因此我们并不能保证一定可以达到这点。</p>
            <table border="0" cellpadding="0" cellspacing="10"><tr valign="bottom"><th align="left">Vulnerability</th><th align="left">Repsonse time</th></tr><tr valign="top"><td>远程 root 权限获取</td><td>
                        <p>最短时间：<b>立即</b>；最长时间：<b>12</b> 小时。</p>
                    </td></tr><tr valign="top"><td>本地 root 权限获取</td><td>
                        <p>最短时间：<b>12</b> 小时；最长时间：<b>36</b> 小时。</p>
                    </td></tr><tr valign="top"><td>远程 DoS(拒绝服务攻击)</td><td>
                        <p>最短时间：<b>6</b> 小时；最长时间：<b>12</b> 小时。</p>
                    </td></tr><tr valign="top"><td>本地 DoS</td><td>
                        <p>最短时间：<b>24</b> 小时；最长时间：<b>72</b> 小时。</p>
                    </td></tr><tr valign="top"><td>远程数据破坏</td><td>
                        <p>最短时间：<b>12</b> 小时；最长时间：<b>24</b> 小时。</p>
                    </td></tr><tr valign="top"><td>本地数据破坏</td><td>
                        <p>最短时间：<b>24</b> 小时；最长时间：<b>72</b> 小时。</p>
                    </td></tr></table>
        
        <h3><a name="severity.forced">2.2 强制更新</a></h3>
            
            <p><b>Fink 核心团队</b>中的一个成员有可能会选择更新软件包而不等待软件包的维护者先采取行动。这称为强制更新。对导致某些脆弱性问题的软件包未能在最长时间要求内完成更新也会导致一次强制更新。</p>
        
    <h2><a name="sources">3 安全漏洞信息来源</a></h2>
        
        
        <h3><a name="sources.sources">3.1 可接受的漏洞信息来源</a></h3>
            
            <p>作为安全漏洞的提交者，你有责任确定软件的脆弱性的确存在于 Mac OS X 中。作为通知方的责任，他应该使下面的组织之一确认可疑的问题的确存在。</p>
            <ol>
                <li>
                    <b>AIXAPAR</b>: AIX APAR (Authorised Problem Analysis Report)</li>
                <li>
                    <b>APPLE</b>: Apple Security Update</li>
                <li>
                    <b>ATSTAKE</b>: @stake security advisory</li>
                <li>
                    <b>AUSCERT</b>: AUSCERT advisory</li>
                <li>
                    <b>BID</b>: Security Focus Bugtraq ID database entry</li>
                <li>
                    <b>BINDVIEW</b>: BindView security advisory</li>
                <li>
                    <b>BUGTRAQ</b>: Posting to Bugtraq mailing list</li>
                <li>
                    <b>CALDERA</b>: Caldera security advisory</li>
                <li>
                    <b>CERT</b>: CERT/CC Advisories</li>
                <li>
                    <b>CERT-VN</b>: CERT/CC vulnerability note</li>
                <li>
                    <b>CIAC</b>: DOE CIAC (Computer Incident Advisory Center) bulletins</li>
                <li>
                    <b>CONECTIVA</b>: Conectiva Linux advisory</li>
                <li>
                    <b>CONFIRM:</b> URL to location where vendor confirms that
                    the problem exists</li>
                <li>
                    <b>DEBIAN</b>: Debian Linux Security Information</li>
                <li>
                    <b>EEYE</b>: eEye security advisory</li>
                <li>
                    <b>EL8</b>: EL8 advisory</li>
                <li>
                    <b>ENGARDE</b>: En Garde Linux advisory</li>
                <li>
                    <b>FEDORA</b>: Fedora Project security advisory</li>
                <li>
                    <b>FULLDISC</b>: Full-Disclosure mailing list</li>
                <li>
                    <b>FreeBSD</b>: FreeBSD security advisory</li>
                <li>
                    <b>GENTOO</b>: Gentoo Linux security advisory</li>
                <li>
                    <b>HERT</b>: HERT security advisory</li>
                <li>
                    <b>HP</b>: HP security advisories</li>
                <li>
                    <b>IBM</b>: IBM ERS/BRS advisories</li>
                <li>
                    <b>IMMUNIX</b>: Immunix Linux advisory</li>
                <li>
                    <b>INFOWAR</b>: INFOWAR security advisory</li>
                <li>
                    <b>ISS</b>: ISS Security Advisory</li>
                <li>
                    <b>KSRT</b>: KSR[T] Security Advisory</li>
                <li>
                    <b>L0PHT</b>: L0pht Security Advisory</li>
                <li>
                    <b>MANDRAKE</b>: Linux-Mandrake advisory</li>
                <li>
                    <b>MISC</b>: generic reference from an URL </li>
                <li>
                    <b>MLIST</b>: generic reference form for miscellaneous
                    mailing lists</li>
                <li>
                    <b>NAI</b>: NAI Labs security advisory</li>
                <li>
                    <b>NETECT</b>: Netect security advisory</li>
                <li>
                    <b>NetBSD</b>: NetBSD Security Advisory</li>
                <li>
                    <b>OPENBSD</b>: OpenBSD Security Advisory</li>
                <li>
                    <b>REDHAT</b>: Security advisories</li>
                <li>
                    <b>RSI</b>: Repent Security, Inc. security advisory</li>
                <li>
                    <b>SEKURE</b>: Sekure security advisory</li>
                <li>
                    <b>SF-INCIDENTS</b>: posting to Security Focus Incidents
                    mailing list</li>
                <li>
                    <b>SGI</b>: SGI Security Advisory</li>
                <li>
                    <b>SLACKWARE</b>: Slackware security advisory</li>
                <li>
                    <b>SNI</b>: Secure Networks, Inc. security advisory</li>
                <li>
                    <b>SUN</b>: Sun security bulletin</li>
                <li>
                    <b>SUNALERT</b>: Sun security alert</li>
                <li>
                    <b>SUNBUG</b>: Sun bug ID</li>
                <li>
                    <b>SUSE</b>: SuSE Linux: Security Announcements</li>
                <li>
                    <b>TRUSTIX</b>: Trustix Security Advisory</li>
                <li>
                    <b>TURBO</b>: TurboLinux advisory</li>
                <li>
                    <b>VULN-DEV</b>: Posting to VULN-DEV mailing list</li>
                <li>
                    <b>VULNWATCH</b>: VulnWatch mailing list</li>
                <li>
                    <b>XF</b>: X-Force Vulnerability Database</li>
                <li>
                    <b>CVE</b>: CVE Candidates </li>
            </ol>
            <p>上面的关键字附和<a href="http://www.cve.mitre.org/cve/refs/refkey.html">这里</a>的关键字列表标准 CVE。</p>
        
    <h2><a name="updating">4 安全性更新流程</a></h2>
        
        
        <h3><a name="updating.procedure">4.1 添加安全性有关更新。</a></h3>
            
            <p>安全性更新只能在软件包的原作者检验并发现是安全性问题以后才可实施。在更新之前，<b>必须</b> 附和下述条件之一或以上：</p>
            <ul>
                <li>软件的作者已经和维护及/或 <b>Fink 核心团队</b> 直接联系并提供补丁或临时的解决办法。</li>
                <li>上述关键字表中的之一发表了安全性警告并对软件提供了更新过的源代码。</li>
                <li>下面的组织提出了补丁：BUGTRAQ，FULLDISC，SF-INCIDENTS，VULN-DEV。</li>
                <li>已经发布了官方的警告并进入CVE Candidate 状态，描述了脆弱性，提供了临时措施，补丁或连接到已更新的源代码。</li>
                <li>预通知已经发送到维护者和/或 <b>Fink 核心团队</b>，并附有一个补丁或临时解决办法，并要求采取行动。</li>
            </ul>
        
        <h3><a name="updating.moving">4.2 Unstable 到 stable 的迁移。</a></h3>
            
            <p>对某个软件包的安全性更新会首先应用在 unstable 分支。经过不少于 <b>12</b> 小时的间隔以后软件包的信息文件(最终还将包括补丁文件)会同样放入 stable 分支。这个间隔时间应该用来密切注视更新软件包的工作情况以及安全更新不会导致新的安全问题。</p>
        
    <h2><a name="notification">5 发送通知</a></h2>
        
        
        
            <p>有些用户不会很经常地更新他们的软件。为了确保那些从源代码安装软件包的用户可以尽快更新发生问题的软件包，维护者可以向 Fink 通知邮件列表发送邮件要求发送通知。</p>
        
        <h3><a name="notification.who">5.1 谁应该发送它们？</a></h3>
            
            <p>这些通知应该只由 <b>Fink 安全团队</b>发布。 多数通知会发自 dmalloc@users.sourceforge.net，邮件会用 PGP 密钥签署，其指纹为：</p>
            <ul>
            <li>FD77 F0B7 5C65 F546 EB08 A4EC 3CCA 1A32 7E24 291E</li>
            <li>可以在http://pgp.mit.edu:11371/pks/lookup?op=get&amp;search=0x7E24291E找到。</li>
            </ul>
            <p>上述网址是特意设为非链接的。</p>
            <p>其它被授权的团队成员包括：(here you add your email +
                public key like I did above)</p>
				<p>peter@pogma.com，PGP 密钥指纹为：</p>
				<ul>
				<li>4D67 1997 DD32 AE8E D7ED  9C79 8491 2AB7 DF3B 6004</li>
				<li>它可以在 http://pgp.mit.edu:11371/pks/lookup?op=get&amp;search=0xDF3B6004 找到。</li>
				</ul>
            <p>其它被授权的团队成员包括：(here you add your email +
                public key like I did above)</p>
				<p>ranger@befunk.com，PGP 密钥指纹为：</p>
				<ul>
				<li>6401 D02A A35F 55E9 D7DD  71C5 52EF A366 D3F6 65FE</li>
				<li>它可以在 http://pgp.mit.edu:11371/pks/lookup?op=get&amp;search=0xD3F665FE 找到。</li>
				</ul>
        
        <h3><a name="notification.how">5.2 如何提交</a></h3>
            
            <p>为了确保安全性通知有统一的形式，所有安全性通知<b>必须</b>符合下面的模板。</p>
            <pre> ID: FINK-YYYY-MMDD-NN 
                        Reported: YYYY-MM-DD 
                        Updated:  YYYY-MM-DD 
                        Package:  package-name
                        Affected: &lt;= versionid
                        Maintainer: maintainer-name
                        Tree(s): 10.3/stable, 10.3/unstable, 10.2-gcc3.3/stable,10.2-gcc3.3/unstable
                        Mac OS X version: 10.3, 10.2 
                        Fix: patch|upstream 
                        Updated by: maintainer|forced update (Email)
                        Description: A short description describing the issue.
                        References: KEYWORD (see above) Ref-URL: URL </pre>
            
            <p>样板的报告应该大致是这样的：</p>
            <pre> ID: FINK-2004-06-01 
                        Reported:         2004-06-09 
                        Updated:          2004-06-09 
                        Package:          cvs 
                        Affected:             &lt;= 1.11.16, &lt;= 1.12.8
                        Maintainer:       Sylvain Cuaz 
                        Tree(s):    10.3/stable, 10.3/unstable, 10.2-gcc3.3/stable,10.2-gcc3.3/unstable 
                        Mac OS X version: 10.3, 10.2 
                        Fix: upstream
                        Updated by: forced update (dmalloc@users.sourceforge.net)
                        Description: Multiple vulnerabilities in CVS found my Ematters
                        Security. References: BID 
                        Ref-URL:    http://www.securityfocus.com/bid/10499 
                        References: CVE 
                        Ref-URL:    http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0414
                        References: CVE 
                        Ref-URL:    http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0416
                        References: CVE 
                        Ref-URL:    http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0417
                        References: CVE 
                        Ref-URL:    http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0418
                        References: FULLDISCURL 
                        Ref-URL:    http://lists.netsys.com/pipermail/full-disclosure/2004-June/022441.html
                        References: MISC 
                        Ref-URL:    http://security.e-matters.de/advisories/092004.html </pre>
        <p>请注意 <b>Affected</b> 关键字所指的软件包并不只包含 Fink 中的软件包。在样本报告中很清楚地展示了这点。</p>   
        
    <hr><h2>Copyright Notice</h2><p>Copyright (c) 2001 Christoph Pfisterer,
Copyright (c) 2001-2011 The Fink Project.
You may distribute this document in print for private purposes,
provided the document and this copyright notice remain complete and
unmodified. Any commercial reproduction and any online publication
requires the explicit consent of the author.</p><hr>
<p>Generated from <i>$Fink: sec-policy.zh.xml,v 1.6 2005/04/09 16:12:59 babayoshihiko Exp $</i></p></body></html>
